Não estou ciente de uma maneira de excluir as credenciais armazenadas em cache, e isso significaria que a palavra "cache" foi mal escolhida, se assim existisse.
Que tal colocar o LogMeIn ou qualquer outro software de controle remoto em cada computador antes que ele saia pela porta e fazer com que cada usuário faça logon remotamente em sua máquina antes de enviá-lo?
Na minha experiência, a melhor maneira de fazer isso é não juntar as máquinas remotas ao domínio, mas sim criar uma conta de usuário local e uma conta de administrador local em cada máquina. A TI documenta a senha do administrador local e fornece ao usuário a senha do usuário local. Este cenário funciona melhor com VDI e / ou serviços em nuvem. Outra solução alternativa é enviar terminais VPN de hardware pré-configurados para cada computador, de modo que cada computador esteja basicamente na LAN quando o usuário fizer logon.
Um grande problema com o armazenamento em cache de credenciais em computadores 100% remotos é que, se você tiver alguma política de expiração de senhas, pode se tornar praticamente impossível manter as credenciais em cache sincronizadas com as atuais após a primeira expiração. . O melhor cenário é a confusão do usuário final, e a pior é a incapacidade de autenticação.